Los sitios de comercio electronico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.
- Definir una estrategia de seguridad informática o ciberseguridad
- Definir una política y objetivos de ciberseguridad
- Definir responsabilidades:
- En toda la organización
- En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
- Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
- Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
- Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
- Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
- Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
- Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
- Revisión de código seguridad en todo cambio del comercio electrónico.
- Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
- Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
- Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
- Adquirir un seguro en caso de fraude informático, si es necesario.
Finalmente, Si una organización ya tiene implementado su canal de comercio electrónico deberá de realizar un análisis de brechas más exhaustivo según las mejores practicas para asegurar una solución de comercio electrónico publicado por PCI SSC, reconocida como un estándar de seguridad para aplicaciones de comercio electrónico. Para evaluar la madurez de la seguridad de la aplicación podemos usar el estándar ISO 15504.